랜섬웨어: 사이버 갈취를 위해 선택하는 툴

인터넷을 통한 협박 행위

랜섬웨어는 일반적으로 금전적인 이득을 얻기 위한 사이버 갈취를 하는 악성코드입니다. 공격자들은 정상인 것처럼 보이는 이메일 또는 웹페이지에 랜섬웨어로 연결하는 링크를 숨길 수 있습니다. 랜섬웨어가 작동되면, 사용자들이 일반적으로 바비트코인 같은 익명 화폐의 형태로 복구 비용을 지불할 때까지 파일, 애플리케이션 또는 시스템과 교신하는 것이 방지됩니다. 랜섬웨어는 보통 개인들에게 영향을 주고, 최근에는 기업에 대해 광범위한 공격을 했다는 머릿기사를 장식한 심각하고 증가하는 사이버 위협입니다. 요구하는 금액은 표적 조직에 따라 달라지고, 수백 달러부터 수백만 달러가 될 수 있습니다.

일단 감염되면 피해자는 거의 복구 비용을 되돌려 받을 수 없습니다. 피해자가 복구 비용을 지불하지 않으면 비즈니스 다운타임, 민감한 정보의 손실 또는 공격자가 조건을 붙인 다른 벌금과 같은 피해를 입습니다. 그리고 그들이 복구 비용을 지불하더라도 동일한 공격자 또는 새 공격자가 자행하는 공격에 취약한 상태로 남아 있고, 공격자들에게 그들의 성공적인 전술에 대한 보상을 제공합니다.

대체로, 사이버 복구 비용의 지불 여부를 고려할 때면 이미 피해에 대처하에 너무 늦은 것입니다.

Access Denied

랜섬웨어의 위험

랜섬웨어가 사용자의 시스템을 감염시키면, 중요한 파일을 암호화하거나 컴퓨터에서 사용자를 잠금니다. 그 다음에 보통 그러한 자원을 복호화하거나 잠금을 해제하는 암호화 키의 대가를 가상 화폐로 지불할 것을 요구하는 몸값 메시지를 표시합니다. 또한 이 메시지는 지불 요구가 충족되지 않는 경우, 침해된 데이터를 공개하겠다고 위협할 수도 있습니다.

어떤 랜섬웨어는 감염된 시스템에서 이와 연결된 파일 서버 또는 다른 네트워크 허브로 이동한 후에 그 시스템을 감염시킬 수 있습니다.  

랜섬웨어의 영향은 지능형 위협 공격에서 사용되는 것과 같은 더 은밀한 악성코드에 비해 즉시 나타납니다. 최근의 신문 머릿기사에서 증명되었듯이, 금전적인 피해와 비즈니스 다운타임을 포함하는 복합적인 랜섬웨어의 영향에 대해 개인, 기업 및 정부 사이에 우려가 증가하고 있습니다.

 

랜섬웨어가 유발하는 피해의 종류

ransomware-damage-encryption
ransomware-damage-secondary
ransomware-damage-data-leakage

랜섬웨어를 방어하는 방법

랜섬웨어는 보통 웹이나 이메일을 사용하여 피해 시스템에 도달하므로, 보안팀은 이러한 경로들을 모니터하여 공격의 징후를 발견해야 합니다.

웹 기반의 공격은 브라우저, 플랫폼 또는 시스템 취약점을 표적으로 삼는 드라이브바이 익스플로잇을 사용하거나, 또는 사용자들을 익스플로잇 킷을 호스트하는 사이트로 다시 보낼 수도 있는 악성 URL이나 악성 광고에 의존하는 경향이 있습니다. 랜섬웨어가 한 시스템을 장악하면, 네트워크에서 다른 연결된 시스템이나 서버로 이동할 수 있습니다. 이메일 기반의 랜섬웨어는 일반적으로 표적 공격에 사용되고, 피싱, 스피어피싱, 악성 첨부 파일, URL을 포함하는 다양한 방법에 의존합니다.

랜섬웨어를 적절히 방어하려면, 다음의 3가지 조치를 취해야 합니다.

  • 감염 프로세스를 철저히 분석하여 공격 경로와 시스템 취약점을 파악해야 합니다. 
  • 악성코드를 분석하여 랜섬웨어의 목적과 활동의 징후를 파악해야 합니다(행동 기반 분석). 
  • 감염된 컴퓨터에서 명령 및 제어 서버(데이터를 유출하거나 악성코드를 추가로 다운로드하기 위해 사용)로 접근하는 것을 차단해야 합니다.

이러한 방어 접근방법은 보통 기존의 보안 솔루션이 간과하는 다양한 경로에 대해 경고 징후를 연결하는 것입니다. FireEye 네트워크 보안(NX 시리즈), FireEye 이메일 보안(EX 시리즈), 또는 FireEye 이메일 위협 방어 클라우드 (ETP)와 같은 진보된 보안 솔루션은 익스플로잇 킷, 악성코드 다운로드 및 명령 및 제어 서버로 전송하는 콜백 통신을 차단함으로써 네트워크를 장악하는 랜섬웨어를 저지합니다. 또한 공격 경로와 방법론을 추적하고 위협 세부 정보를 공유하여 랜섬웨어가 미치는 전반적인 영향을 최소화함으로써 미래의 공격을 저지할 수 있습니다.  

이메일 보안이 이메일 기반의 랜섬웨어 공격을 탐지 및 차단하는 방법


네트워크 보안이 웹 기반의 랜섬웨어 공격을 탐지 및 차단하는 방법


랜섬웨어에 대한 사이버 보안 방어 시스템을 선택하는 기준

모든 사이버 보안 방어 시스템이 동일하지는 않습니다. 보안 제공자들은 제품 제공과 사용 결과에 현저한 차이가 있습니다. 다음은 이상적인 사이버 보안 벤더가 랜섬웨어 위협을 방어하기 위해 제공하는 몇 가지 사항입니다.   

  • 방어 시스템은 랜섬웨어의 작동을 방지하거나 방해하기 위해 실시간 보호를 제공해야 합니다. 이것은 무엇보다도 중요하고, 말하는 것보다 실행하기가 훨씬 더 어렵습니다. 사용자가 복구 비용에 대한 요구를 받는 경우, 그들의 데이터 또는 시스템 파일들이 이미 암호화되었고, 심각한 잠재적 피해에 대처하기에는 너무 늦습니다.  
  • 방어 시스템은 인라인 보호를 제공해야 합니다. 이메일의 경우, 방어 시스템은 메일 전송 에이전트(MTA) 역할을 해야 합니다. 여기에는 2가지 목적이 있습니다. 첫째는 모든 이메일이 이메일 방어 시스템을 통해서 전송되도록 확인하는 것입니다. 둘째는 이러한 위협의 대상이 되는 오프라인 분석 또는 대역외 솔루션에서 탐지가 지체되는 것을 줄이는 것입니다.  
  • 방어 시스템은 실행 가능한 위협 인텔리전스를 사용하여 가능한 한 빨리 업데이트해야 합니다. 며칠 또는 몇 주 간격으로 업데이트를 하는 보안 시스템은 동일한 랜섬웨어를 사용하여 조직에 설치된 다른 시스템을 성공적으로 표적으로 삼는 사이버 공격자에게 훨씬 더 많은 시간을 허용합니다. 상황 인텔리전스는 랜섬웨어와 관련된 중요한 잠재적 경고 징후를 제공하여 미래의 공격을 방어할 수 있습니다. 공격자 인텔리전스와 의도 지표에 대한 철저한 이해도 미래의 위협을 예측, 대비, 차단하는 데 도움이 될 수 있습니다.  
  • 방어 시스템은 모든 중요한 공격 경로에서 위협을 찾아보아야 합니다. 랜섬웨어 공격은 악성 URL을 사용하여 사용자들을 악성코드로 유도하거나, 명령 및 제어 서버를 사용하는 통신에 의존하여 작동 시기를 결정하기 때문에, 이메일을 보호하는 것만으로는 충분하지 않습니다. 최고의 솔루션은 다수의 경로를 사용하는 다단계 공격을 추적하여, 랜섬웨어를 호스트하는 사이트로 연결하는 링크가 들어 있는, 무해한 것처럼 보이는 이메일을 명확하게 식별합니다.
 
FireEye 제품과 서비스는 랜섬웨어 위협을 저지하기 위해 이러한 모든 능력을 제공합니다.

랜섬웨어를 탐지 및 방어하십시오

이메일 보안

랜섬웨어 공격을 유도하는 피싱 이메일과 악성코드 첨부 파일을 탐지 및 차단하십시오.

네트워크 보안

웹 기반의 랜섬웨어 공격을 탐지, 식별 및 차단하십시오.

랜섬웨어 위협을 분석하십시오

사용자 단말 포렌식

웹, 이메일 및 단말에서의 다른 시스템 활동을 분석하여 랜섬웨어 공격의 메커니즘을 상세히 알아보십시오.

전문가의 서비스를 받으십시오

Security as a Service(서비스형 보안)

최신 랜섬웨어 위협에 대한 탐지, 검증 및 대응을 모니터하는 전문가에게 도움을 받으십시오.

컨설팅 및 평가 서비스

평가 서비스를 사용하여 랜섬웨어의 위협을 얼마나 잘 탐지 및 대응하는지 테스트하고 방어 능력을 강화하십시오.

탐지에서 대응까지 자동화하십시오

보안 오케스트레이션

탐지에서 대응까지의 워크플로우를 자동화하여 노출의 기간과 범위를 줄이고, 자원을 최적화하고, 영향을 제한합니다.


랜섬웨어 대한 최신 위협 인텔리전스